El primer complemento malicioso invade la tienda de aplicaciones de Microsoft Win10/Win11, afectando a más de 4000 usuarios

IT House informó el 12 de febrero que el programa de medios tecnológicos beepingcomputer publicó ayer (11 de febrero) una entrada en su blog, informando que el complemento de Outlook AgreeTo en la Microsoft Store fue secuestrado y reducido a una herramienta de phishing, lo que provocó la filtración de más de 4.000 credenciales de cuenta.

El plugin fue lanzado por un desarrollador independiente y fue abandonado debido al proyecto tras su lanzamiento en diciembre de 2022, lo que provocó que la URL alojada en Vercel fuera tomada por atacantes, implantando así código malicioso.

Como Microsoft ya no realiza verificaciones de seguimiento tras el lanzamiento del plugin, el atacante aprovechó esta vulnerabilidad del mecanismo para desplegar páginas de inicio de sesión falsas, scripts de recopilación de contraseñas y programas de exfiltración de datos en URLs abandonadas.

Cuando los usuarios abren el plugin malicioso, la barra lateral de Outlook muestra una interfaz de inicio de sesión falsa de la cuenta Microsoft, que es altamente engañosa. Las credenciales introducidas por el usuario se envían al atacante en tiempo real a través de la API del bot de Telegram, tras lo cual la víctima es redirigida a una página real de inicio de sesión para reducir sospechas.

El investigador de Koi Security, Oren Yomtov, señaló que este es el primer malware en la tienda oficial de aplicaciones de Microsoft y el primer plugin malicioso de Outlook detectado en un entorno real.

Antes del comunicado de prensa de IT House, Microsoft había eliminado el plugin, y los expertos recomendaban que los usuarios que instalaran AgreeTo desinstalaran y restablecieran inmediatamente sus contraseñas.